Cuidadin con ZeroNet

Me acorde hace poco de este proyecto de ZeroNet y pensé voy a volver a probarlo.

Esta vez quería probar el tema de hacer webs, y me hice una sencilla web para probar una cosa:

<!DOCTYPE html>
<html>
<head>
<title>PRUEBA</title>
<meta charset="utf-8">
<meta http-equiv="content-type" content="text/html; charset=utf-8" />
</head>
<body>
<a href="www.google.es">google</a>
<img src="https://pbs.twimg.com/profile_images/3684933094/e58f5abd97fcaf441ac0e8b47db519ba_400x400.jpeg" />
</body>
</html>

Quería probar una cosa muy tonta si se ven los links hacia afuera y si es capaz de cargar recursos de fuera de Zeronet.

Y efectivamente las dos cosas funcionan…para mi no es una feature es un bug.

Aunque tiene lógica porque el zeronet.py lo único que hace es levantar un “server local” al que entrar a Zeronet con el navegador y el navegador esta funcionando sin restricciones.

Ya se que si se TORifica toda la conexión, tanto la del server de Zeronet como por supuesto de firefox (en mi caso) porque es el que va dejando trazas como una vaca con diarrea por el campo.

Pero llamarme paranoico…pero no me mola que si entro a “una web zeronet” empiece ha hacer conexiones hacia afuera así de gratis.

La gente de Ingobernablelab me aconsejo esta lista de plugins/extensiones/addons de Firefox en PRISM ⚡ Break pero o soy un poco zoquete y no se configurarlas bien o no funcionan cuando abres un server local. Siempre podemos tirar de firewall, pero era por hacer la vida un poco mas fácil.

6 Comments

  1. En Firefox tienes varios addons para bloquear URLs externas. Tendras un problema con tu anonimato si además ejecutas codigo javascript (una de las mínimas al navegar con Tor debería ser desactivar javascript)

  2. Como bien dices, “zeronet.py lo único que hace es levantar un “server local” al que entrar a Zeronet con el navegador y el navegador esta funcionando sin restricciones”; esto tiene una consecuencia desastroza:

    Al apoyarse ZN en JavaScript, lo hace especialmente atractivo para distribuir codigo maligno autoejecutable.

    Al contrario de Freenet, que neutraliza practicamente todo el codigo que no sea HTML puro, ZN es realmente “transparente”, sin filtros de seguridad.

    Pero eso tampoco es nuevo. En la propia ZN hay algunos sitios que explican ese problema.

    Lo de Torificar ZN tampoco es buena idea, ya que no limita la ejecucion del codigo. La solucion es navegar por ZN con ayuda de un proxy falso y añadir un par de addons.

  3. ZeroNet no esta pensado para anonimizar las conexiones. Es un sistema contra la censura. Tiene opcion de anonimizar usando la red Tor pero como has comprobado es una falsa sensacion de anonimato. Si realmente quieres estar anonimo, tienes que pasar por un whonix-gateway.

    https://www.whonix.org/wiki/ZeroNet

  4. Me parece que usar Whonix + Tor no soluciona la parte del problema referido a potenciales conexiones indeseables.
    1. Frenar la auto-ejecucion de codigo con javascript es imposible (o reducirlo con mucho esfuerzo)
    2. Evitar que ZN establezca conexiones con direcciones externas, solo es posible a traves de un proxy falso

    ¿Alguien conoce alguna herramienta que bloquee JS y no establezca conexiones hacia otros destinos?

Leave a Reply

Your email address will not be published. Required fields are marked *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax